近々、サイトを引っ越しします。
2014年4月14日
この、Jeans & Developmentや、電子ブロック工房は、@niftyのラクーカンというサービスを使わせて頂いて、提供してきました。もともと、別の理由で@niftyのアカウントを保持しておかないといけないことがあり、それがラクーカンを選択した理由の一つでもあります。
ラクーカンを使用し始めた当初は、データーベースとしてはSQLiteのみが用意されており、MySQLのサポートがありませんでした。当時用いていたNucleus CMSはMySQLを利用していますが、そのまま使えませんでしたので、SQLite対応版を独自に作成して、ラクーカンで用いていました。
現在使っているJeans CMSは、SQLiteで動作するように、自ら構築した物です。思い返してみれば、初期のラクーカンがSQLiteに対応していなかったことが、Jeans CMSを生み出す元になったとも言えます。
さて、訳あって、近いうちに、ラクーカンからよそのプロバイダーに、変更することにしました。独自ドメインは取得していませんでしたので、アドレスが変更になります。
移転先ではOpenShiftのサーバーを利用する予定です。独自ドメインを取得するかなど、まだ決定していません。移転先のアドレスが決定次第、報告します。また、移転後もしばらくの間(1-2ヶ月)は、このラクーカンのアドレスから転送するように設定する予定です。
引っ越しを行なうことにしたのは、セキュリティーに関することが理由です。ラクーカンでは、PHPのバージョンとして5.2が使われていますが、PHP 5.2は、PHPの本家ではすでにサポート対象外になっています。サポート対象外ということは、脆弱性が発見されても、セキュリティー上の改善を施したバージョンがリリースされないと言うことです。現在までに50以上の脆弱性が報告されていますが、これらの脆弱性は改善されておらず、ラクーカンでも、こういったPHPが供給されています。
そこで、@niftyのサポートに、e-mailで質問をしてみました。
これに対して、次のような回答が返ってきました。
「致命的な動作や設定などに不具合などが確認できた際に、バージョンアップを行うことでセキュリティを確保」というのは、セキュリティー対策としては、「?」な感じなのですが、PHP5.2のサポートが終了していることに関する記述が見あたらなかったので、以下のように再質問してみました。
これに関して、とりあえずいただいた回答が、次の通りです。
ところが、いくら待てども一向に返事が返ってきません。2週間ほど経った頃、改めて、次のように質問してみました。
これに対する返事は一日と待たずに、頂きました。
セキュリティーに関して質問しているのに、どうやら、PHPのバージョンアップの話にすげ替えられてしまっているように感じました。「提供元でのサポートが終了しているバージョンも随時提供を終了していく方針」と言っているけれども、PHP5.2の最後のバージョンがリリースされたのは、2011年1月。もう3年以上も前のことです。PHP5.3でさえ、セキュリティーアップデートがいつまでされるのか、分からない状況になっています。そこで、次のように再質問してみました。
すると、こんな返事が。
あいかわらず、「PHPの新しいバージョンへの対応時期につきましては未定」とのこと。セキュリティーの「セ」の字も感じられないような返答でした。カスタマーサポートがちゃんと分かっていないのか、ラクーカンの担当が全く分かっていないのか。最後に、以下のようなメールを送ってみました。
これに対して、4日後に得られた回答が、以下の通りです。
どうやら、「PHP5.2以降のバージョンが提供されていること」はご存じでも、PHP5.2のセキュリティーサポートが全くなされていないことに関しては、よくおわかりでは無いようです。このメールで言うところの「致命的と判断した場合」は、いったいどの様に対応するのでしょうか?ラクーカンで、PHPを利用しているサイトをすべて接続不可にしてから、対処するのでしょうか?「弊社提供のサービスへの影響も大きい」というのは、@niftyではいまだにPHP5.2ベースでスクリプトが書かれており、PHP5.3/5.4/5.5へ移行することが技術的に出来ないと言うことでしょうか?
私の主観ながら、もう@niftyを信用できない、もしくは、安心して使用できないと感じましたので、引っ越しすることにした次第です。
ラクーカンを使用し始めた当初は、データーベースとしてはSQLiteのみが用意されており、MySQLのサポートがありませんでした。当時用いていたNucleus CMSはMySQLを利用していますが、そのまま使えませんでしたので、SQLite対応版を独自に作成して、ラクーカンで用いていました。
現在使っているJeans CMSは、SQLiteで動作するように、自ら構築した物です。思い返してみれば、初期のラクーカンがSQLiteに対応していなかったことが、Jeans CMSを生み出す元になったとも言えます。
さて、訳あって、近いうちに、ラクーカンからよそのプロバイダーに、変更することにしました。独自ドメインは取得していませんでしたので、アドレスが変更になります。
移転先ではOpenShiftのサーバーを利用する予定です。独自ドメインを取得するかなど、まだ決定していません。移転先のアドレスが決定次第、報告します。また、移転後もしばらくの間(1-2ヶ月)は、このラクーカンのアドレスから転送するように設定する予定です。
引っ越しを行なうことにしたのは、セキュリティーに関することが理由です。ラクーカンでは、PHPのバージョンとして5.2が使われていますが、PHP 5.2は、PHPの本家ではすでにサポート対象外になっています。サポート対象外ということは、脆弱性が発見されても、セキュリティー上の改善を施したバージョンがリリースされないと言うことです。現在までに50以上の脆弱性が報告されていますが、これらの脆弱性は改善されておらず、ラクーカンでも、こういったPHPが供給されています。
そこで、@niftyのサポートに、e-mailで質問をしてみました。
PHPを使っておりますが、PHP 5.4が使用できるように なるのはいつになるのでしょうか? PHP5.2の最新バージョンは5.2.17で、現在la coocanでは5.2.14が使 われていると言うことですね。しかも、5.2.17でさえ、本家 PHPによるセキュリティーサポートが終了しております。 la coocanでのセキュリティーは、適切に行なわれているので しょうか?PHP 5.3でさえ、今年の7月にはセキュリティー サポートが終了します。@niftyにおけるセキュリティーの考 え方と、今後サポートされるPHPのバージョンについて、知 らせて下さい。 まとめますと、以下の3つの質問がございます。 1)@niftyにおいては、la coocanで使用しているPHPのセキュリ ティーをどの様に確保しているのか? 2)PHP5.4もしくはPHP5.5は、いつ使用可能になるのか? 3)今後、PHPを含む、la coocanで使われているツールのセキ ュリティーは、どの様に確保されるのか? 以上、3つの質問に対するお答えを、よろしくお願いいた します。
これに対して、次のような回答が返ってきました。
LaCoocanでは、PHPに関わらずCGIなどのツールは、提供している環境において 致命的な動作や設定などに不具合などが確認できた際に、バージョンアップを 行うことでセキュリティを確保しておりますが、仕様変更に関しての即時対応 は行いません。 また、提供元でのサポートが終了している場合、LaCoocanでも随時提供を終了 していく方針です。 上記方針に伴い、PHP 5.4や5.5の対応を検討しておりますが、現時点で、具体 的な対応時期をご案内することは出来かねます。この点何卒ご了承ください。
「致命的な動作や設定などに不具合などが確認できた際に、バージョンアップを行うことでセキュリティを確保」というのは、セキュリティー対策としては、「?」な感じなのですが、PHP5.2のサポートが終了していることに関する記述が見あたらなかったので、以下のように再質問してみました。
お返事を頂きました。一つ、分からない点があります。 > また、提供元でのサポートが終了している場合、LaCoocanでも随時提供を終了 > していく方針です。 とのことですが、PHP5.2系は、提供元でのサポートがすでに終了しております。 これについて、どの様にお考えなのでしょうか?
これに関して、とりあえずいただいた回答が、次の通りです。
誠に恐縮ですが、このたびご指摘いただいております、提供元でサポートが終 了しているPHP 5.2の対応につきましては、 今一度、弊社にて確認したく存じ ます。 詳細が確認出来次第、あらためてご連絡いたしますため、お困りのところ申し 訳ございませんが、今しばらくお待ちくださいますようお願いいたします。
ところが、いくら待てども一向に返事が返ってきません。2週間ほど経った頃、改めて、次のように質問してみました。
以下の件、どのようになりましたでしょうか? ご回答、お待ちしております。
これに対する返事は一日と待たずに、頂きました。
はじめに、前回ご案内をさせていただきましたとおり、PHPの新しいバージョ ンについては、今後、対応を検討いたしており、提供元でのサポートが終了し ているバージョンも随時提供を終了していく方針でございます。 しかしながら、PHPのバージョンアップによる仕様変更にともない、互換性が なくなる機能もあり、提供元でのサポート終了とともに、弊社でも対応を終了 させていただいた場合に、お客様が作成したPHPアプリが動作しなくなる可能 性がございます。 このことにより、LaCoocanサービスをお申し込みのお客様が、これまでご利用 が可能であったPHPアプリが利用できなくなり、サービスのご利用において、 ご迷惑をおかけしてしまう可能性を考慮し、現在のところ、引き続きPHP5.2の 対応を継続させていただいている状況でございます。 新しいバージョンについては、上記状況をふまえ、弊社にて検討ならびに調整 の上で対応を進めさせていただいておりますため、具体的な対応時期をご案内 できず、誠に恐縮ではございますが、本件につきまして、何卒ご理解賜ります ようお願い申し上げます。
セキュリティーに関して質問しているのに、どうやら、PHPのバージョンアップの話にすげ替えられてしまっているように感じました。「提供元でのサポートが終了しているバージョンも随時提供を終了していく方針」と言っているけれども、PHP5.2の最後のバージョンがリリースされたのは、2011年1月。もう3年以上も前のことです。PHP5.3でさえ、セキュリティーアップデートがいつまでされるのか、分からない状況になっています。そこで、次のように再質問してみました。
>> 新しいバージョンについては、上記状況をふまえ、弊社にて検討ならびに調整 >> の上で対応を進めさせていただいておりますため、具体的な対応時期をご案内 >> できず、誠に恐縮ではございますが、本件につきまして、何卒ご理解賜ります >> ようお願い申し上げます。 とのことですが、近々対応して頂けるという理解でよいでしょうか?なにぶん、 セキュリティーに関係することですので、一刻も早い対応をお願い致します。お およそでよいので、どれぐらいの期間で対応して頂けるのか、お知らせ下さい (1週間後なのか、1ヶ月後か、3ヶ月後か、1年後か、等)。
すると、こんな返事が。
前回のご案内と重複いたしますが、LaCoocanのPHPの新しいバージョンへの対 応時期につきましては未定となっております。 そのため、具体的な対応時期をお知らせすることができません。この点、何卒 ご理解賜りますようお願いいたします。
あいかわらず、「PHPの新しいバージョンへの対応時期につきましては未定」とのこと。セキュリティーの「セ」の字も感じられないような返答でした。カスタマーサポートがちゃんと分かっていないのか、ラクーカンの担当が全く分かっていないのか。最後に、以下のようなメールを送ってみました。
どうも、勘違いなさっているようですね。私は、ラクーカンにおいて、PHPのセ キュリティーはどのように確保されているのかと、質問しているのです。新しい バージョンのPHPを提供して欲しいと言っているのではありません。私の質問 を、一番最初の物にさかのぼって読んでみて下さい。 現在お使いになっているPHP5.2は、提供側のサポートが終了しており、セキュリ ティー上の問題を解決したバージョンも既に提供されておりません。すでに、数 十個の脆弱性が報告されています。ニフティーの側で独自にパッチを当てている のならまだしも(そういった回答は、残念ながら得られませんでした)、このよ うな回答しか得られないのであれば、ニフティーでは提供されているサーバーの セキュリティーはまったく頓着していないと判断せざるを得ないのですが、この 理解でよろしいですね。 新たな話を聞かせて頂けないのであれば、上記のように判断して、対処すること に致します。
これに対して、4日後に得られた回答が、以下の通りです。
PHPに関して、PHP5.2以降のバージョンが提供されていることは弊社といたし ましても承知しております。 しかしながら、現バージョンとの仕様が大きく変更されていることもあり、弊 社提供のサービスへの影響も大きいことから、即時対応することが困難な状況 です。 そのため、弊社といたしましては、現バージョンでの重篤な問題を認識してい ないこともあり、バージョンアップを行ってはおりませんが、PHP5.2の対応 において、今後致命的と判断した場合には速やかにバージョンアップ等で対応 していく所存でございます。 また、現時点では新しいバージョンへの移行時期については未定のため、対応 時期は明確にお伝えできませんが、順次移行を検討させていただいております。
どうやら、「PHP5.2以降のバージョンが提供されていること」はご存じでも、PHP5.2のセキュリティーサポートが全くなされていないことに関しては、よくおわかりでは無いようです。このメールで言うところの「致命的と判断した場合」は、いったいどの様に対応するのでしょうか?ラクーカンで、PHPを利用しているサイトをすべて接続不可にしてから、対処するのでしょうか?「弊社提供のサービスへの影響も大きい」というのは、@niftyではいまだにPHP5.2ベースでスクリプトが書かれており、PHP5.3/5.4/5.5へ移行することが技術的に出来ないと言うことでしょうか?
私の主観ながら、もう@niftyを信用できない、もしくは、安心して使用できないと感じましたので、引っ越しすることにした次第です。